米IBMセキュリティーは8月6日(現地時間)、消費者および産業用のIoTテクノロジー、自動車用品、ATMをはじめとしたさまざまなデバイスやシステムのセキュリティテストを専門とする4つの施設で構成したX-Force Redラボに加え、IBM X-Force Redは金融取引システムのセキュリティ確保に対する需要の増大を受けて、ATMに特化したテスト手法を発表した。
新しいラボは、同社内のハッカーから成る自律的チームであるX-Force Redによって運営され、デバイス(ハードウェアとソフトウェア)のデプロイ前およびデプロイ後に脆弱性を特定する作業を行うセキュアな場所を提供。
4つのラボは米テキサス州のオースティン、英ハーズリー、オーストラリアのメルボルン、米ジョージア州のアトランタに開設し、テストラボを通じて、IoT対応デバイスやATMをはじめとするハードウェアおよびソフトウェアの開発ライフサイクル全体を通してエンジニアや開発者がセキュリティーを実現できるよう支援する。
サービスには「製品要件の文書化」「技術的な詳細分析」「脅威のモデル化」「セキュリティ要件の作成」「侵入テスト」が含まれる。
製品要件の文書化では製品エンジニアと製品の目的、関与する利害関係者およびシステム、利用可能なスキルセット、その他の製品要件について表にまとめるほか、技術的な詳細分析については侵入テストの対象範囲を定義するために、製品設計文書、セキュリティー要件、リスク管理情報、そのほかのデータについて分析。
脅威のモデル化に関しては、製品をターゲットにする可能性がある脅威者、脅威者が製品を侵害する方法と理由、企業に対する潜在的リスクなど、製品や企業に対する潜在的な脅威およびリスクを明らかにすることに加え、セキュリティ要件の作成では、製品の構築時にエンジニア向けのセキュリティ要件のリストを作成してそれらを実施する。
侵入テストは、攻撃者が実際に用いる方法と同じ方法を用いて製品に侵入し、チームはX-Force Redのクラウドベースのポータルを通じて、脆弱性の知見に関する最新情報をリアルタイムに提供。X-Force Redのハッカーがテスト実施時に得られた知見を随時報告するため、ユーザーはテストがすべて完了するのを待たずに脆弱性を修正するプロセスを開始できるという。
一方、ATMテストサービスはペネトレーションテスト担当者で構成されるグローバルチームが参加し、銀行ATMが攻撃者の手に落ちる前に物理的脆弱性や、ハードウェアおよびソフトウェアの脆弱性を特定して、修正に役立てることを可能としている。
同サービスには「包括的なATM評価」「攻撃者の観点からのテスト」「脆弱性修正の助言」「コンプライアンス」が含まれ、包括的なATM評価では犯行を行うハッカーが利用する可能性がある脆弱性を見つけるため、機器そのもの、ネットワーク、アプリケーション、およびコンピューター・システムのセキュリティを評価する。
攻撃者の観点からのテストに関しては、犯罪者と同じツールや方法を用いてATMをハッキングし、攻撃に使われる脆弱性を特定。脆弱性修正の助言については、包括的なレポートでATMシステムの強化や防御について助言することに加え、コンプライアンスはATMのログを調べ、金融機関がペイメントカード業界データセキュリティ基準(PCI DSS)などの業界基準に準拠できるよう支援するという。
